2023.09.26.
Fel kell készülni rá, hogy egyre több iparágra lesz kötelező érvényű a NIS2 irányelv, ami a legmagasabb szintű kiberbiztonságot adó intézkedés az Európai Unióban – hívja fel a figyelmet az ISolutions szakértője.
„Az informatika már 15 éve is rendkívül fontos volt az üzleti életben, mégis azt látom, hogy a legtöbb vállalkozás a mai napig nem veszi komolyan. Tömegével találkozom olyan cégekkel, ahol nincs víruskereső, nincs mentés vagy fogalmuk sincs, hogy hol vannak az adataik. És itt most nem az öt-tíz fős mikrocégekről beszélek, hanem nagy, 100-150 fővel rendelkező vállalatokról. Jó lenne, ha a cégvezetők felismernék, hogy a korszerű technológia és az adatvédelem nem egy kényelmi szempont, hanem egy olyan terület, aminek elhanyagolása az egész vállalkozás jövőjét veszélyeztetheti” – mondta Juhász Viktor az üzleti informatikai megoldásokkal foglalkozó iSolutions ügyvezetője.
Érdemes mihamarabb megkezdeni az IT szabványokhoz való felzárkózást
A legtöbb magyar kkv még mindig nem fektet elegendő erőforrást az IT rendszerek és az adatkezelés felülvizsgálatába, pedig a hatósági előírásoknak való megfelelés több szempontból is létfontosságú lehet a cégeknek. Nem kell messzire mennünk a példákért: mivel az EU által kötelezően előírt GDPR követelményei folyamatosan szigorodnak, az elmúlt években számos vállalkozás a saját bőrén tapasztalta meg, hogy milyen súlyos jogi és nem utolsósorban pénzügyi következményekkel jár az, ha nem felel meg az előírásoknak.
Egyre több cég számára válik fontossá az ISO 27001 minősítés, ami az adatok biztonsága mellett az informatikai rendszerek stabilitását is szavatolja. Ez a GDPR-nál (Általános Adatvédelmi Rendelet) is jóval összetettebb és szigorúbb szabvány, és bár még nincs a jogszabályban kötelezően előírva, a komolyabb cégek többsége már nem köt üzletet olyan partnerrel vagy beszállítóval, aki nem rendelkezik ezzel a minősítéssel.
Ugyanez a helyzet a NIS2 (Network and Information Systems Directive) irányelvvel, amelynek célja az olyan kritikus infrastruktúrák és szolgáltatások biztonságának növelése, amelyek elengedhetetlenek az európai gazdaság és társadalom működéséhez. Ez a szabvány egyelőre az olyan adatbiztonsági szempontból kritikus ágazatokat érinti, mint az energetika, közigazgatás, pénzügyi szolgáltatások, egészségügy vagy víz- és élelmiszerellátás, azonban nem kizárt, hogy a GDPR-hoz hasonlóan hamarosan ez az irányelv is kötelező érvényű lesz az EU-s vállalkozások többsége számára.
„Arra lehetett számítani, hogy a zsarolóvírus támadások majd ráébresztik a hazai cégvezetőket arra, hogy komolyabban vegyék az informatikát, de látom, hogy hatósági szabályozás nélkül nem érhető el a kiberbiztonság terén radikális változás. A minősítési rendszereken keresztül végre talán most először beindult egy olyan szabályozási folyamat az informatikában, ami valóban előremutató ilyen téren” – vélekedett Juhász Viktor.
A biztonsági megoldások nélküli cég olyan, mint egy fék nélküli autó a forgalomban
A szakértő szerint az informatikai előírásoknak való megfelelést azért is halogatják sokszor a cégek, mert bonyolultnak és költségesnek gondolják, pedig az informatika alapvetően egy termelőeszköz, ami minél jobban működik, annál nagyobb hasznot hoz a vállalkozásoknak. Mivel az IT szabványok pontról pontra előírják, hogy a cég milyen feladatra milyen megoldást alkalmazzon, így egyértelmű iránymutatást ad az informatikával kapcsolatban, ami olyan szempontból könnyedség a cégvezetőknek, hogy nem nekik kell megtervezniük, hogy IT területen milyen intézkedéseket végezzenek.
Mindegyik szabvány egyértelmű leírást tartalmaz az IT-ra vonatkozó előírásokról, így a vállalkozás check listként végigmehet rajtuk, és megtalálhatja a hiányos pontjait. Bár az alternatív megoldások terén van a cégeknek némi mozgástere, a szakértő szerint nem éri meg túlságosan eltérni a szabványokban előírtaktól, mert a tanúsítványokat kiállító szervek alapos ellenőrzést végeznek.
„Szerintem az, hogy ma nincs egy cégnek mondjuk, víruskeresője, olyan dolog, mintha úgy mennék ki az autómmal a forgalomba, hogy nincsen rajta irányjelző vagy fék. Mivel az IT-ban organikusan egyelőre nem terjedtek el tömegesen a biztonsági megoldások, szabályozásra volt szükség. Végső soron a piaci érdekek mentén fognak elterjedni ezek a szabványok, mert várhatóan néhány éven belül a cégek többsége egymást fogja erre rákényszeríteni” – vélekedett Juhász Viktor.